关于阿里云wordpress WP_Image_Editor_Imagick 指令注入漏洞修复

指尖风暴技术信息 8 年前 0 212

这个漏洞是昨天接到的短信

查看后发现，按照网络上的测试 convert命令，但是返回错误，证明这个问题已经修正，但是阿里云依旧报漏洞。

下面是测试命令

convert ‘https://example.com”|ls “-la’ out.png

接着是官方的解决方案，按照网络上的教程去查找，其实官方文件已经包含了这些信息，所以可以肯定已经修复。

下面是文件内容截图

接着就只能测试网友的那个临时解决方法了，我使用的是第一种方法

临时解决WP漏洞的方法只需要修改一行代码就好。

1、找到wp-includes/media.php，第2898行；

2、修改下列第一条代码为第二条：

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick' , 'WP_Image_Editor_GD' ) );

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_GD', 'WP_Image_Editor_Imagick' ) );
即把2个库优先级对调即可。

或者，修改/wp-includes/media.php

注释掉一下语句：
require_once ABSPATH . WPINC . ‘/class-wp-image-editor-imagick.php’;
即便机器里装了ImageMagic wordpress也不会调用那玩意了。所以可以暂时不用担心ImageMagic的问题了。

这个修复仅是临时解决方案，更可靠、最直接的方法还是请将wordpress程序升级到最新版本，如果服务器安装有ImageMagick组建同样需要升级至新版本。

修改完成后，在阿里云会提示文件已修改。

声明：本站所有文章，如无特殊说明或标注，均为本站原创发布。任何个人或组织，在未征得本站同意时，禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益，可联系我们进行处理。